IBM-Middleware: Schwachstelle in MQ kann zu Rechtausweitung führen
Mehrere Sicherheitslücken in IBM MQ ermöglichen Angreifern, ihre Rechte an betroffenen Systemen auszuweiten oder diese lahmzulegen. Updates stehen bereit.
(Bild: Shutterstock/chanpipat)
IBM warnt vor mehreren Sicherheitslücken im IBM MQ Operator und Queue Manager sowie den bereitgestellten Container-Images. Die Fehler stammen insbesondere von mitgelieferten Drittherstellerkomponenten.
Mehrere Lücken
Aufgrund einer mangelhaften Zugriffskontrolle im containerd des Basissystems könnten authentifizierte Angreifer aus dem Netz mit sorgsam präparierten Anfragen neue Prozesse mit erhöhten Rechten starten (CVE-2020-15257, CVSS 9.8, Risiko "kritisch"). Außerdem könnte eine Schwachstelle zum Auslesen von Umgebungsvariablen missbraucht werden, wenn Container den containerd-CRI-Dienst nutzen. Damit ließen sich weitere Angriffe gegen betroffene Systeme starten (CVE-2021-21334, CVSS 7.5, hoch).
Eine Schwachstelle in Golang Go kann aufgrund möglicher Speicherzugriffe außerhalb der Grenzen in der ImportedSymbols-Funktion in debug/macho ein betroffenes System lahmlegen. Mit präparierten Binärdateien könnten Angreifer aus dem Netz so einen Denial-of-Service auslösen (, CVSS 7.5, hoch). Angreifer könnten eine weitere Sicherheitslücke in Golang Go ebenfalls zum Lahmlegen einer Instanz missbrauchen. Beim Verarbeiten von ZIP-Archiven könnten manipulierte Archiv-Header im Denial-of-Service münden (CVE-2021-39293, CVSS 7.5, hoch).
Der mitgelieferte IBM WebSphere Application Server 9.0 und IBM WebSphere Application Server Liberty 17.0.0.3 bis 22.0.0.2 ermöglichten Clickjacking-Angriffe. Angreifer hätten potenzielle Opfer auf eine bösartige Webseite locken und aus dem Netz ferngesteuerte Klicks auslösen können. Damit wären auch weitere Angriffe auf Opfer möglich gewesen (CVE-2021-39038, CVSS 4.4, mittel).
Die Fehler sind in den Versionen IBM MQ Operator 2.0.0 CD, das von IBM bereitgestellte MQ Advanced 9.3.0.0 Container-Images enthält, IBM MQ Operator 1.3.5 EUS mit von IBM bereitgestellten MQ Advanced 9.2.0.5 Container-Images sowie IBM MQ Operator 2.0.0 LTS mit IBM MQ Operator Catalog Image sowie von IBM bereitgestellten MQ Advanced v9.3.0.0 Queue Manager Container-Images behoben.
Fix für Apache log4j
Ein weiteres Security Bulletin hat IBM zudem für den IBM Content Manager Enterprise Edition 8.6 aktualisiert. Zwar ließ sich die Log4Shell-Lücke darin umgehen, jetzt steht mit Version 8.7 jedoch eine fehlerbereinigte Version bereit. IBM empfiehlt, das Update jetzt zu installieren.
IBM hat nähere Informationen zu den Lücken sowie den bereitstehenden Aktualisierungen in den Sicherheitsmeldungen zusammengetragen:
- Security Bulletin: IBM MQ Operator and Queue manager container images are vulnerable to vulnerabilities from Golang Go and IBM WebSphere Application Server Liberty
- Security Bulletin: IBM MQ Operator and Queue manager container images are vulnerable to an issue in OPM and Golang Go packages
- Security Bulletin: IBM Content Manager Enterprise Edition is is vulnerable to arbitrary code execution due to Apache Log4j
Themenseite zu IBM auf heise online
(dmk)
